INFORMATIONEN

5 Phasen der EUDSGVO Datenschutz-Folgenabschätzung

Ein kurzer Überblick über die DFA-Methodik

Dieser Artikel befasst sich mit einem neuen Instrument, das halb als Audit und halb als Projektmanagement bezeichnet werden könnte. Artikel 35 der Datenschutz-Grundverordnung erlaubt eine besondere Analysemethode, wie sie derzeit in Kraft ist.

Die Bewerter werden als Wissens- und Sicherheitsrisiko-Kontrolle bezeichnet. Bitte beachten Sie, dass in diesem Bericht die Methoden der Datenschutzfolgenabschätzung nicht im Detail erörtert werden. Vielmehr wird er Ihnen eine Zusammenfassung aller Phasen dieser Bewertung bieten.

Die Art einer DFA

Es besteht eine obligatorische Pflicht zur Durchführung einer Bewertung, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die betroffene Person führt (Art. 35 DSGVO). Angesichts der Bedeutung des Unternehmens und der Entwicklung der IT-Prozesse hilft der Risikomanagement-Ansatz dem Unternehmen bei der Festlegung geeigneter Kontrollen. Er ermöglicht es, Prozesse zu untersuchen, Risiken zu priorisieren und sie in angemessener Weise zu behandeln, um die Kosten zu minimieren und Entscheidungen zu treffen.

Schließlich ermöglicht die Datenschutzfolgenabschätzung einem Unternehmen, die Anwendung von Datenschutzstandards zu veranschaulichen. Folglich sollten wir vernünftigerweise zugeben, dass die Datenschutzfolgenabschätzung ein Regulierungsinstrument ist und dass sie vor der Durchführung der Verarbeitung eingesetzt werden muss (Ex-ante-Analyse).

Ein kurzer Überblick über die Methodik

Die Datenschutzfolgenabschätzung besteht in der Regel aus mehreren Stufen. In jedem dieser Schritte werden die besonderen Merkmale Ihrer Datenverarbeitung anhand einer Reihe von Kontrollen und Tests analysiert. Wenn Sie den Piloten und den Kopiloten fragen würden, was sie vor dem Start tun würden, würden sie wahrscheinlich eine Checkliste ihrer Instrumente anhand einer kontrollierten und überprüften Reihe von Kontrollen durchführen. Eine DFA ist ähnlich, aber im Gegensatz zu einer Checkliste für Flugzeuge ist sie vielseitiger.

Eine DFA ist an die Tiefe der von Ihnen beabsichtigten Bewertung anpassbar, was gewährleistet, dass es keine zeitliche Vorgabe für jedes Bewertungsmerkmal gibt. Mit anderen Worten: Wenn das Bewertungsteam Zeit darauf verwenden muss, die Sicherheitsvorkehrungen zu sortieren oder die Risiken für die Verarbeitung zu suchen und zu erforschen, können Sie ihm das überlassen, da das gewünschte Ergebnis dieser Überprüfung die Lösungen sein werden. Was die Technik betrifft, so werden in Artikel 35 Absatz 7 der Verordnung die zu messenden Mindestelemente festgelegt, die im Folgenden in fünf Phasen aufgeführt sind:

Schritt 1 ist einfach eine detaillierte Auflistung der Datenverarbeitung, einschließlich der verwendeten Daten, der Angaben zu den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern, der rechtlichen Rechtfertigung oder der für die Daten geltenden Aufbewahrungsfrist. Sie weist Parallelen zur alten Form der Bekanntmachung auf, die eine Bedingung der Richtlinie 95/46 EG ist.

In Schritt 2 werden die derzeit geltenden Vorschriften und Risikobewertungskontrollen beschrieben. Dieser Prozess umfasst die neue und laufende Sammlung von Schritten aus rechtlicher, technologischer, physischer und organisatorischer Sicht. Ziel ist es, etwaige Bedrohungen zu überwachen, die vor der Verarbeitung der Ergebnisse entdeckt werden könnten. Wenn das Unternehmen beispielsweise seine Richtlinien für den Zugang zu seinen Räumlichkeiten nicht überprüft hat (z. B. Ausgabe von Ausweisen, Zugangsprotokolle usw.), müssen Sie dies möglicherweise zuerst tun, bevor Sie diese Richtlinien auf einen neu gebauten/erworbenen Bereich Ihrer Räumlichkeiten oder ein neues Gerät anwenden.

Schritt 3 listet die Gründe für die Besorgnis über die Datenverarbeitung auf. Dabei wird die folgende Frage gestellt: „Wird mein Unternehmen unter dieser neuen Datenverarbeitung leiden, und wenn ja, wo und wann wird es leiden? „Dieser Prozess konzentriert sich auf potenzielle Eingriffe in die Privatsphäre (z. B. Schaden durch fehlerhafte Daten oder eine Verletzung der Sicherheit) und eine Bewertung der Unternehmensbedrohungen, der Rufschädigung oder der finanziellen Kosten.

Schritt 4 ist die Überprüfung und Auflistung möglicher schädlicher Vorfälle und Risiken bei der Datenverarbeitung. Der Unterschied zu Schritt 3 besteht darin, dass er sich auf die personenbezogenen Daten der betroffenen Person und die möglichen Auswirkungen der jüngsten Verarbeitung auf diese Daten konzentriert. Unabhängig davon, ob es sich um interne oder globale, menschliche oder nicht-menschliche (technische) Aktivitäten handelt, ist dieser Prozess wichtig für den technologischen Fortschritt. Bei neuen Technologien fehlt die konsequente Umsetzung von datenschutzfreundlichen Schutzmaßnahmen, so dass die betroffenen Personen Bedrohungen wie Hacking, Phishing und Spamming ausgesetzt sind.

Schritt 5 schließlich besteht aus einem Bericht, in dem die Studie, die neuen Kontrollen, die Risiken für Ihr Unternehmen und die Herausforderungen für personenbezogene Daten beschrieben werden. Der Bericht zeigt auf, welche Möglichkeiten das Unternehmen hat, um jede wahrgenommene Gefahr, jedes Risiko und jeden Makel zu mindern. Es wird bestimmt, ob jede Alternative dazu führt, dass das Risiko beseitigt oder verringert wird, oder ob es so bleibt, wie es ist.

Der Bericht wird registriert, aufbewahrt und an die wichtigsten Führungskräfte Ihres Unternehmens weitergeleitet. Diese Verwalter entscheiden dann, ob Maßnahmen ergriffen wurden oder nicht oder ob sie ergriffen werden müssen, und verfolgen diese Maßnahmen weiter. An dieser Stelle sei angemerkt, dass solche Berichte dazu führen, dass Sie das Transparenzkonzept der Datenschutz-Grundverordnung einhalten.

Mehrwert einer DFA

Eine DFA ist ein zusätzlicher Vorteil für Ihr Unternehmen. Es könnte sich nach einer sehr langen und zeitaufwändigen Arbeit anhören. Während die DFA jedoch „grünes Licht“ dafür gibt, dass Sie die einschlägigen Datenerhebungen einhalten, bietet sie den an der DFA beteiligten internen Mitarbeitern auch eine Vorabanalyse Ihrer Produktion, während sie den nationalen Behörden und den Verbrauchern gegenüber ihren guten Willen unter Beweis stellt.

Eine solche Bewertung ist eine gute Gelegenheit, Aufzeichnungen zu überprüfen, die Ausführung Ihres Vorschlags zu planen, Ihre Strategien zu erstellen oder anzupassen, technologische Funktionen zu aktualisieren und Ihre Kontrollen zu verbessern. Kurz gesagt, die DFA lädt Ihre Mitarbeiter zum Austausch und zur Sensibilisierung für die Sicherheit personenbezogener Daten in Ihrem Unternehmen ein.

Der Nachweis der Konformität mit der Datensicherheitsbehörde ist etwas, das Sie im Auge behalten müssen. Diese Behörde wird von Ihren Bewertungen Kenntnis haben, da Sie darüber Aufzeichnungen führen müssen. Im Falle einer Untersuchung innerhalb der Immobilie können Sie durch die Vorlage solcher Unterlagen Ihr gutes Gewissen beweisen. Außerdem werden Sie die betroffenen Personen davon überzeugen, dass Sie ihre Daten und ihre Integrität schützen werden, wenn es um die Kunden geht.

Datenschutz und E-Mail-Anbieter

Jeden Tag werden Millionen von E-Mails mit personenbezogenen Daten ausgetauscht. Diese Informationen sowie die E-Mail-Adressen selbst unterliegen dem Datenschutz gemäß der Datenschutz-Grundverordnung. Wir zeigen, was

mehr »